Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La presente es una publicación conjunta que pertenece al Instituto Nacional de Ciberseguridad (INCIBE) y a la Asociación Española
para el Fomento de la Seguridad de la Información, ISMS Forum Spain, y está bajo una licencia Reconocimiento- No comercial - Si-
nObraDerivada 4.0 Internacional de Creative Commons. Por esta razón está permitido copiar, distribuir y comunicar públicamente
en cualquier medio o formato esta obra bajo las condiciones siguientes:
Reconocimiento
El contenido de esta obra se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa
tanto a INCIBE como a ISMS Forum y a sus sitios web: https://www.incibe.es/ y http://www.ismsforum.es. Dicho reconocimiento no
podrá en ningún caso sugerir que INCIBE o ISMS Forum prestan apoyo a dicho tercero o apoyan el uso que hace de su obra.
Uso No Comercial
La obra puede ser distribuida, copiada y exhibida mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene
que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones pueden no aplicarse si se obtiene el permiso
de INCIBE e ISMS Forum como titulares de los derechos de autor. Texto completo de la licencia: https://creativecommons.
org/licenses/by-nc-nd/4.0/deed.es_ES
Colaboradores:
ÁNGEL CAMPILLO
ÁNGEL PÉREZ
CARLES SOLÉ
CARLOS A. SAIZ
DANIEL LARGACHA
ELENA MATILLA
GEMMA DÉLER
GONZALO ASENSIO
GUSTAVO LOZANO
IVÁN SÁNCHEZ
JAVIER SEVILLANO
JÉSÚS MÉRIDA
JOSÉ RAMÓN MONLEÓN
JOSÉ ANTONIO PEREA
MANUEL FERNÁNDEZ
MARCOS GÓMEZ
MARIANO J. BENITO
PEDRO DÍAZ
RAFAEL SANTOS
RAFAEL HERNÁNDEZ
RAMÓN ORTIZ
ROBERTO BARATTA
Revisores:
ALFONSO LÓPEZ-ESCOBAR
ELENA MATILLA
GUSTAVO LOZANO
Editor:
Diseño y maquetación:
Para las empresas, los nuevos paradigmas como son la Transformación Digital,
el uso de soluciones basadas en la Nube o Cloud Computing, la incorporación
de dispositivos IoT, el Big Data, suponen un cambio en la forma de entender
cómo la tecnología facilita el negocio.
Por otro lado, la tendencia Fast, Cheap & Easy en la gestión de Sistemas de In-
formación para reducir el tiempo y coste de la provisión de nuevas soluciones
y que se apoya en metodologías ágiles (Lean, DevOps, Agile) supone tanto un
reto en la elaboración de los Análisis de Riesgos, como en el control del de-
sarrollo y hace más importante la necesidad de tener en cuenta la Seguridad
de la Información desde el diseño y durante todo el ciclo de vida de cualquier
Producto o Servicio.
Es por todo ello, por lo que el papel del Responsable de Seguridad de la In-
formación (CISO por sus siglas en inglés de Chief Information Security Officer)
cobra un papel trascendental en las organizaciones del siglo XXI. La seguridad
por defecto, desde el diseño y la debida gestión de los riesgos de seguridad
son elementos clave para garantizar la supervivencia de las organizaciones
del futuro, y en general de la sociedad. Debe ser capaz de poder cohesionar
la estrategia en materia de Seguridad de la Información de las organizaciones.
Esté donde esté, sin lugar a dudas el CISO es una figura clave dentro de las or-
ganizaciones debiendo definirse claramente sus atribuciones y su perfil, como
ya se hizo anteriormente con otros roles como el del CIO, el CFO (Chief Finan-
cial Officer) o Auditoría Interna.
Este libro blanco recoge el rol y funciones del CISO del siglo XXI, como facilita-
dor del negocio para alcanzar sus objetivos y aumentar su resiliencia.
La presente sección tiene como objetivo orientar al CISO en las leyes y norma-
tivas que deberá tener en consideración para ejercer su actividad. Es preciso
reseñar que la normativa aplicable a su función dependerá del modelo orga-
nizativo de la empresa, naturaleza y sector de actividad.
Protección de datos.
La directiva NIS tiene como objetivo lograr un elevado nivel común de se-
guridad de las redes y sistemas de información dentro de la Unión Europea.
Establece condiciones de seguridad para empresas y organismos que pro-
porcionan servicios esenciales enmarcadas en los sectores estratégicos de
la administración, espacio, industria nuclear, industria química, investigación,
agua, energía, salud, tecnologías de la información, transporte, alimentación
y sistema financiero y tributario. Regula la seguridad de redes y sistemas de
información utilizados para la provisión de los citados servicios esenciales y
servicios digitales (comercio electrónico, motores de búsqueda y grandes ser-
vicios de computación en la nube) y establece un sistema de notificación de
Hay varios aspectos que el CISO deberá tener en cuenta en dicha relación:
En España la Ley 8/2011, de 28 de abril, estableció por primera vez las medi-
das para la protección de las infraestructuras críticas (más conocida ya como
Ley PIC o simplemente LPIC) junto con el reglamento que la desarrolla (Real
Decreto 704/2011, de 20 de mayo).
La LPIC tiene por objeto establecer las estrategias y las estructuras adecuadas
que permitan dirigir y coordinar las actuaciones de los distintos órganos de las
Administraciones Públicas en materia de protección de infraestructuras críti-
cas, previa identificación y designación de las mismas, para mejorar la preven-
ción, preparación y respuesta de nuestro Estado frente a atentados terroristas
u otras amenazas que afecten a infraestructuras críticas.
Secretos comerciales.
Por otro lado, existe estándar de Seguridad de Datos para la Industria de Tarjeta
de Pago que afecta principalmente al sector financiero y comercio en general
dónde se transmita, procese o almacene información de tarjetas de crédito/
debito. PCI-DSS define los requisitos mínimos de seguridad.
Sector Juego.
Las empresas del Sector Juego (juego online) están sujetas a las siguientes
leyes y normativas:
Sector Defensa.
Export Control
Para llevar a cabo estas funciones, son muchas las actividades que desarrolla
el CISO, por lo que a continuación se desglosan las actividades que desarro-
llan las funciones del CISO.
IDENTIFICAR
PROTEGER
Seguridad en el dato/información.
DETECTAR
Elaboración de forenses.
Threathunting.
Defensa activa.
RESPONDER Y RECUPERAR
INFORMAR Y COORDINARSE
Como tal directivo, el CISO debe liderar diferentes órganos de gestión como
el comité de seguridad de la información o el comité de ciberseguridad, en
otros ser parte relevante como puede ser el caso del comité de protección de
datos, , y en otros ser un miembro permanente y activo como en el comité de
riesgos, transformación digital o incluso comité de dirección dónde materialice
su misión principal de gestión e implantación de la estrategia de seguridad de
la información corporativa.
Para que sirva de contexto la seguridad que hoy en día conocemos como Ci-
berseguridad (al menos para la mayor parte de la población) no siempre fue
así y del mismo modo fue cambiando el rol del CISO conforme han ido evolu-
cionando los departamentos de seguridad y su nombre.
Toda esta transformación ha dado lugar a que el CISO esté integrado en las
Organizaciones en diferentes posiciones que los siguientes modelos intentan
explicar.
A lo largo de los tiempos hemos podido ver nombres tales como jefe de segu-
ridad informática, responsable de seguridad lógica, responsable de seguridad
informática o director de seguridad informática (cuando ya empezaba a verse
la seguridad en un nivel ejecutivo), etc. El nombre por el que más se le conoce
hoy en día es el de CISO, término procedente del entorno cultural anglosajón.
Una vez ubicado el origen y evolución del nombre del departamento de se-
guridad de la información y el nombre del puesto que lo gestiona podemos
entrar a analizar diferentes modelos organizativos y relacionales dentro de
una determinada empresa, independientemente del sector.
Por lo tanto, está claro que la SEGURIDAD y la figura del CISO debe de ser
cada vez más una función multidisciplinar. Con múltiples áreas de acción y
con diversidad de competencia, según las diferentes organizaciones.
Sensibilización y capacitación.
Administración de riesgos.
Controles.
Las organizaciones han tenido que realizar una transformación radical con el
avance de las tecnologías de la información, que ha convertido cualquier ele-
mento físico en un bloque de información almacenada digitalmente al que
hay que aportar seguridad, ya que cualquier daño en la confidencialidad o
integridad de la información puede causar daños irreparables para las orga-
nizaciones.
ABSOLUTE FEUDAL
REPUBLIC DEMOCRACY COMMUNITY
MONARCHY MONARCHY
Horizontales, aquellas en las que sobresalen las figuras y los cargos direc-
tivos por encima del resto de integrantes.
Así las cosas, cualquiera que sea el arquetipo que prevalezca en una orga-
nización o la forma como se encuentre organizada la función de seguridad
de la información, ésta debe sustentarse en el más alto nivel directivo de la
organización.
Gobierno de
Gobierno Seguridad
CISO
Gestión de
Gestión Seguridad
Manager
Plataforma de
Operaciones
Operaciones Operaciones
de TI
de Seguridad
Nivel de protección.
CEO
CxO
CIO
Comunicaciones
y Seguridad
Perimetral
Ventajas
Inconvenientes
El CISO cuenta con su propio departamento, es decir existe dentro del organi-
grama el departamento de seguridad de la información, pero se adscribe a la
misma estructura jerárquica dentro del departamento de tecnología.
Dentro de este modelo pueden existir variantes teniendo en cuenta las fun-
ciones, por ejemplo, seguridad de la información puede ser un área de defini-
ción y control y las otras funciones de ejecución, mantenimiento y explotación
estarían repartidas por el resto de los departamentos.
CEO
CxO
CIO
Ventajas
Inconvenientes
• Menor visibilidad.
• Posible conflicto de intereses.
CEO
CxO COO/CRO
CIO COO/CRO
CISO
Ventajas
• Mayor capacidad de decisión.
• Mayor visibilidad.
• No hay conflicto de intereses.
Inconvenientes
• Lejos de la operativa.
• Lejanía con el personal de tecnología.
• Posible solapamiento con áreas de control del riesgo.
Para este modelo el CISO no sólo está fuera de Tecnología, sino que es con-
siderado un ejecutivo de alto nivel y, por tanto, pertenece al comité de di-
rección. Suele reportar al Director General, presidente o consejero delegado
(depende la de organización). Es un modelo más evolucionado y tiene cabida
en empresas y organizaciones que consideran la seguridad de la información
necesaria e imprescindible para el desarrollo del negocio.
CEO
CxO COO/CRO
CISO
CIO
Ventajas
Inconvenientes
• Lejos de la operativa.
• Lejanía con el personal de tecnología.
• Se requiere de más áreas que operen la Seguridad Informática.
3ª Línea de Defensa
Auditoría interna
Auditoría externa
https://www.paloaltonetworks.com/content/dam/paloaltonetworks-com/
en_US/assets/pdf/tech-briefs/governance-of-cybersecurity.pdf
Líneas de reporte
• 40% al CIO.
• 22% al CEO.
• 8% al CFO.
• 6% Consejo Administración.
Sin embargo, el informe de Ponemon del año 2017 “The Evolving Role of CI-
SOs and their importance to the business” (https://interact.f5.com/rs/653-
SMC-783/images/RPRT-SEC-1167223548-global-ciso-benchmarkUPDATED.
pdf) indica que:
• 60% de los CISOs tienen canal directo con CEO en caso de inciden-
tes serios.
• 50% siguen reportando al CIO.
• 9% reportan al CTO.
• 9% reportan al CFO.
• 8% al Consejo.
• 6% al COO.
• 6% al Risk Manager Leader.
Expectativas
Debe ser una posición suficientemente independiente para mantener
una visión objetiva del nivel de exposición a los riesgos.
Realidades
La ubicación organizativa del CISO depende de los siguientes factores princi-
pales:
Complejidad de la empresa.
Requisitos de leyes y regulaciones.
Sector de actividad.
Factor humano del equipo de dirección.
Dispersión geográfica
Dispersión funcional
Dispersión societaria
Alto volumen de transacciones de negocio
IV.9.- Recomendaciones.
Riesgos Tecnológicos: Son los que debe cubrir el rol del CISO aquí plan-
teado (ciberataques, virus, ransomware, etc...).
En cuanto al citado rol de CTSO (sea o no parte de los cometidos que le apli-
can al CISO), siendo el perfil mucho más técnico, es fundamental tener las
siguientes capacitaciones:
Es evidente que cualquier perfil directivo necesita, ante todo “seniority” (expe-
riencia profesional) y autoridad. El CISO es una figura directiva con un elevado
–y creciente- grado de responsabilidad y las consecuencias de sus decisio-
nes tendrán importante repercusión en materia de presupuestos, instalacio-
nes, operatividad de recursos, plazos, cumplimiento contractual, legislativo y
normativo y dependerán en gran manera de él los riesgos que la empresa
pueda atenuar o deba asumir. Es fundamental, por tanto, contar con un pro-
fesional con sólidos conocimientos del negocio y capacidad para valorar los
daños que la pérdida de confidencialidad, integridad o disponibilidad de la
información puedan causar a la empresa. Deberá ser capaz de identificar y/o
entender los riesgos y valorar posibles soluciones para contrarrestarlos y no
cabe la menor duda que en su carácter no puede faltar coraje y templanza
no sólo para la toma de decisiones sino para ser capaz de afrontar y liderar
actuaciones en casos de crisis.
Sin embargo, no por el hecho de tener autoridad y coraje puede estar exento
de flexibilidad y de tener y saber aplicar el sentido común. El negocio reta per-
manentemente las medidas de seguridad porque suelen obstaculizar las ini-
ciativas tecnológicas o lastrarlas con demoras y sobrecostes. La seguridad no
puede conducir a la inmovilidad o suponer un freno especialmente en tiem-
pos en los que la transformación digital se perfila como una necesidad, o in-
cluso como un elemento que condiciona la competitividad de la organización
o hasta su supervivencia a medio o largo plazo.
Hay otras muchas habilidades deseables para el CISO como son la capacidad
de organización y priorización, la constancia y el compromiso con la empre-
sa, la mentalidad de seguridad que cualquier miembro de este sector debe
llevar en el ADN y las dotes de liderazgo. Respecto a este último aspecto, el
CISO es responsable de un equipo humano y no pueden faltar las dotes para
dirigirlo con diligencia y crear compromiso e implicación en toda la organiza-
ción. Las habilidades interpersonales (inteligencia emocional), la formalidad y
el respeto son claves para un buen desempeño de su función y la delegación
es un factor imprescindible. El CISO no puede saberlo todo; ser especialista
de todo. El director de orquesta no tiene por qué saber tocar cada uno de los
instrumentos pero ha de coordinar su ritmo para lograr una perfecta ejecución
de la partitura.
Por último, hay una característica que nunca debe faltar en cualquier perso-
na pero que es esencial en los miembros de seguridad independientemente
de su ámbito de actuación: la integridad y la ética personal. En seguridad no
puede existir la “segunda oportunidad” para las personas que defraudan la
confianza. Se puede admitir una equivocación pero nunca una falta de ho-
nestidad o rectitud. La confianza –digamos- se tiene por defecto pero, si se
pierde, nunca se recupera.
El rol del CISO es sin embargo tan imprescindible como aun insuficientemen-
te conocido o reconocido por la propia organización. Por ello, en el pasado
se han tomado diversas decisiones de ubicación de la función de CISO en
el organigrama que no explotan suficientemente la transversalidad del CISO,
de sus conocimientos, de su visión, orientación ni la capacidad de aportación
de valor a la organización. Una transversalidad de la función derivada de la
transversalidad propia de la seguridad de la información, dado que las orga-
nizaciones son tan inseguras como la más insegura de sus partes. Por ello, el
CISO debe conocer materias tan variadas como seguridad física, derecho de
las Tecnologías, seguridad de las personas, detección y respuesta a inciden-
tes, privacidad, continuidad de negocio, gestión de terceras partes, partiendo
de un conocimiento central y profundo de seguridad de la información.
El rol de CISO no había sido aún definido con precisión puesto que ha sido
moldeado a lo largo del tiempo por las necesidades de las organizaciones y
la evolución de las amenazas, frente a otros roles definidos por documentos,
estándares o regulaciones que establecen claramente sus funciones y atribu-
ciones.
Incluso la escasa legislación existente en la que la figura del CISO está direc-
tamente o indirectamente, debería armonizarse y darle al CISO un enfoque
homogéneo e integral no ya en su denominación, sino lo que es mucho más
importante en aspectos tales como en la definición de sus funciones, respon-
sabilidades, aportación y relevancia.
Por ello, este Libro Blanco recopila la experiencia y visión de CISOs que ya lo
son en organizaciones punteras, innovadoras y con necesidades identificadas
claras en seguridad de la información. Una experiencia que no puede ser ob-
viada para definir correctamente esta función.
Secretos Comerciales
Directiva (EU) 2016/943 (Trade Secrets)
h t t p : // e u r- l e x . e u r o p a . e u / l e g a l - c o n t e n t / e n / T X T/ ? u r i = C E -
LEX%3A32016L0943
Directiva NIS
Directiva (EU) 2016/1148 (NIS) aplicable a entidades que proporcionan
servicios esenciales en concordancia con lo dispuesto en la ley 8/2011,
de 28 de abril, por la que se establecen medidas para la protección de
las infraestructuras críticas. Esta Directiva traspone las disposiciones de
la 2008/114/CE, esencial para la cooperación en materia de infraestruc-
turas críticas en el seno de la Unión Europea.
https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CE-
LEX:32016L1148&from=ES
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes
y sistemas de información.
https://www.boe.es/diario_boe/txt.php?id=BOE-A-2018-12257
Sector Juego
Ley 13/2011, de 27 de mayo, de regulación del Juego y RD de desarrollo
de la Ley del Juego (Real Decreto 1613/2011, de 14 de noviembre)
https://www.boe.es/buscar/act.php?id=BOE-A-2011-9280
https://www.boe.es/buscar/act.php?id=BOE-A-2011-17835
Órdenes ministeriales de afectación (Orden EHA/2528/2011, de 20 de
septiembre, por la que se establecen los requisitos y el procedimiento de
designación de entidades independientes que realicen las certificacio-
nes de evaluación del software de juegos y de seguridad de operadores
de juegos)
https://www.boe.es/buscar/doc.php?id=BOE-A-2011-15092
Sector Defensa
De especial relevancia:
Documento C-M(2002)49
https://www.cni.es/comun/recursos/descargas/DOCUMENTO_21_-_
Security_within_NATO_-_C-M49-COR1-12.pdf
y directivas asociadas:
AC/35-D/2000 Directive on Personnel Security
http://www.dksi.bg/NR/rdonlyres/852F2C9E-7CC8-441B-A63A-
4A456D42E59D/0/Personnel_SecurityAC35D2000REV7.pdf
AC/35-D/2001 Directive on Physical Security
h t t p : // w w w . d k s i . b g / N R / r d o n l y r e s /
9D0EE24C-86D9-4C90-8084-70F5BC14B03B/0/Physical_Securit-
yAC35D2001REV2.pdf
AC/35-D/2002 Directive on Security of Information
http://www.dksi.bg/NR/rdonlyres/DA629957-ECB2-40D6-9094-
0F20396E5780/0/Information_SecurityAC35D2002REV4.pdf
Normativa OCCAR
http://www.occar.int/occar-rules
Normativa ESA
ESA Security Regulations
https://download.esa.int/docs/eso/esa-reg-004e.pdf
Normativa EAR
US. Export Administration Regulation (EAR)
https://www.bis.doc.gov/index.php/regulations/export-administra-
tion-regulations-ear
Europa
España
Alemania
Véase también:
http://www.bafa.de/EN/Foreign_Trade/Export_Control/export_con-
trol_node.html
Francia
Reino Unido
Export Control Act 2002, Export Control Order 2008 y corrección 2010
h t t p s : //w w w. l e g i s l at i o n . g ov. u k /u k p g a /2 0 0 2 /2 8 / p d f s /u k p -
ga_20020028_en.pdf
http://www.legislation.gov.uk/uksi/2008/3231/pdfs/uksi_20083231_
en.pdf
http://www.legislation.gov.uk/uksi/2008/3231/pdfs/uksics_20083231_
en.pdf